현재 재정 환경을 고려할 때 사이버 보안 예산은 다른 모든 지출과 함께 검토 중일 수 있으며 경우에 따라 도마에 놓일 수도 있습니다. 보안 리더가 보안 운영 프로그램을 보호하는 가장 좋은 방법 중 하나는 비즈니스 우선순위와 일치 그들의 경영진과 이사회. 이것의 중요한 부분은 프로그램의 효율성을 보여주는 지표를 제공하는 것입니다. 메트릭 개발 보안 운영을 위해 이해 관계자는 프로그램의 현재 상태와 프로그램이 비즈니스 목표를 지원하는 방식을 추적할 수 있습니다.
보안 운영 센터는 비즈니스에 중요한 기능이지만 SOC의 효율성을 측정하는 것은 쉽지 않습니다. 조직은 다양한 접근 방식 중에서 선택할 수 있습니다. 보안 운영에서 대응 속도는 중요한 측면 중 하나이며 신속하게 포함된 손상과 치명적인 데이터 위반 사이의 모든 차이를 만들 수 있습니다.
따라서 다음과 같은 기본 측정항목부터 시작합니다. 감지하는 평균 시간 (MTTD) 및 평균 응답 시간(MTTR)을 통해 귀하와 귀하의 이해 관계자는 운영에 대한 더 나은 통찰력을 얻고 더 나은 투자 결정을 내릴 뿐만 아니라 경영진과 이사회에 가치를 입증할 수 있습니다.
효율성 향상
탄력적인 보안 운영 프로그램의 주요 목표는 조직을 낮추는 것입니다.'s MTTD 및 MTTR은 사이버 사고로 인해 조직에 가해지는 피해를 제한합니다.
MTTD는 잠재적인 보안 위협을 발견하는 데 걸리는 시간을 측정합니다. 이 메트릭은 조직의 효율성을 이해하는 데 도움이 됩니다.'보안 운영 및 팀'위협을 인식하는 속도와 능력. 따라서 목표는 손상이 조직에 미치는 영향을 줄이기 위해 이 메트릭을 가능한 한 낮게 유지하는 것입니다.
한편 MTTR은 위협이 탐지된 후 대응하는 데 걸리는 시간을 측정하는 데 도움이 됩니다. 응답 시간이 길수록 손상이 데이터 위반으로 이어질 수 있음을 나타냅니다. 목표는 MTTD와 마찬가지로 대응 속도를 높이고 위험을 줄이는 것입니다.
MTTD와 MTTR은 모두 팀을 측정하고 개선하기 위한 핵심 지표입니다.'조직으로서 팀의 효율성을 추적하는 것이 중요하기 때문에 의 기능's 성숙이 커집니다. 기본적인 비즈니스 운영과 마찬가지로 조직을 성숙시키려면 운영 효율성을 측정하여 조직이 KPI 및 SLA에 도달하고 있는지 확인해야 합니다.
MTTD 및 MTTR 외에도 운영 효율성을 효과적으로 측정하고 전달하고 있는지 확인하기 위해 모니터링해야 하는 다른 메트릭이 있습니다.
보안 운영의 성공 보장
다음은 보안 운영 프로그램에서 개선이 필요한 부분을 파악하는 데 도움이 되도록 측정해야 하는 XNUMX가지 지표입니다.
분류할 알람 시간(TTT): 팀 측정'경보를 긴급하게 검사하는 능력. 위협에 대한 대응 수준을 실시간으로 파악하는 데 도움이 됩니다. 이것은 팀이 모니터링 초점을 좁히기 위해 추가 직원이 필요하거나 더 큰 모니터링 부하를 감당할 직원이 충분하다는 것을 나타낼 수 있습니다.
TTQ(알람 시간): 경보를 완전히 조사하고 검증하는 데 걸리는 시간을 측정하고 나타냅니다. TTQ는 막힘을 발견하고 팀을 이해하는 데 도움이 됩니다.'적격한 위협에 관한 범위입니다.
위협 조사 시간(TTI): 검증된 위협을 철저하게 조사하는 데 걸리는 시간을 측정하고 나타냅니다. 병목 현상을 식별하고 팀을 이해할 수 있습니다.'효율적인 방식으로 위협을 조사할 때의 기능.
완화 시간(TTM): 인시던트를 완화하고 즉각적인 비즈니스 위험을 해결하는 데 걸리는 시간을 측정합니다. TTM은 팀이 얼마나 빨리 문제를 완화하여 활성 위협을 중지하거나 방해할 수 있는지 이해하는 데 도움이 됩니다.
복구 시간(TTV): 인시던트에서 완전히 복구하는 데 걸리는 시간을 측정합니다. TTV를 측정하면 보안 팀과 관련된 다른 사람들이 얼마나 빨리 운영을 정상 상태로 완전히 복원할 수 있는지 파악하는 데 도움이 됩니다. 운영 및 협업의 병목 현상도 발견할 수 있습니다.
사고 감지 시간(TTD): 인시던트가 처음에 감지되고 궁극적으로 자격이 있는지 확인하는 데 걸리는 시간을 측정합니다. TTD는 실제로 사건을 초래한 위협을 식별하는 데 걸리는 시간을 보여주기 때문에 보안 운영 효율성의 중요한 지표입니다.
인시던트 대응 시간(TTR): 확인된 인시던트를 완전히 조사하고 완화하는 데 걸리는 시간을 측정합니다. TTR은 사고로 이어진 위협을 분석하고 완화하는 데 걸리는 시간을 제공한다는 점에서 보안 운영 효율성의 필수 척도입니다.
메트릭은 데이터 수집, 분석 및 보고를 통해 보안 프로그램의 효율성, 성능 및 책임에 대한 정보에 대한 통찰력을 제공하도록 설계되었습니다. 또한 프로세스의 병목 현상을 파악하고 재작업이 필요한 도구 또는 프로세스를 식별할 수 있는 기능도 제공합니다. 개선을 위해서는 모든 비즈니스 프로세스를 측정해야 하며 보안 운영도 이와 다르지 않습니다. 메트릭을 통해 효과를 입증하는 것은 더 넓은 비즈니스에 가치를 보여주는 데 필요한 요소입니다.
